Les données que l’AP-HM collecte sont nécessaires pour lui permettre de répondre aux finalités suivantes :

• La prise en charge en tant que patient, dès de la prise de rendez-vous jusqu’à la réalisation de vos consultations, vos soins et vos traitements et permettre, le cas échéant, votre hospitalisation ainsi que votre suivi médical
• Les exigences de santé publique, d’épidémiologie et de qualité de soins
• Les vigilances sanitaires
• Les statistiques d’activités de l’AP-HM
• Les recherches scientifiques, l’innovation, l’enseignement
• Le développement d’outils d’aide à la décision et à la prise en charge du patient
• La constitution d’Entrepôts de données de santé publique et de Banques d’échantillons biologiques
• Le financement des soins
• L’établissement, l’exercice ou la défense de réclamations légales contre l’AP-HM
• L’envoi des communications et d’informations sur l’AP-HM à votre attention (newsletter, confirmation des rendez-vous, etc.)
• La gestion des demandes d’exercice des droits RGPD
• La protection des biens et des personnes par la vidéoprotection

De façon générale, l’AP-HM ne traite aucune de vos données à des fins incompatibles avec celles pour lesquelles elles ont été collectées, sauf accord préalable de votre part.

L’AP-HM collecte différents types de données personnelles vous concernant

Les données personnelles que vous nous communiquez directement :

Nous collectons directement vos données lors de votre prise en charge ou de façon générale, lorsque vous échangez avec l’AP-HM de toute autre manière. Par exemple : données d’identification (nom, prénom, pièce d’identité, Identifiant National de Santé (INS), Numéro de Sécurité Sociale (NIR),…), données relatives à votre vie privée (numéro de téléphone, adresse mail, adresse postale, personne de confiance, personne à contacter,…), données relatives à la vie professionnelle (profession,…), les données économiques et sociales (moyens de paiement, carte vitale, carte mutuelle,…), données relatives à votre santé ou autres données sensibles (rendez-vous médicaux, diagnostics médicaux, traitements, antécédents, résultats d’examen, vidéo/photographies, données génétiques, données ethniques, données relatives à votre vie sexuelle,…), les résidus de vos prélèvements biologiques ainsi que les données qui y sont liées.

La communication de vos données personnelles est volontaire, sauf en cas de la sauvegarde de vos intérêts vitaux. Toutefois, certaines informations, identifiées par un astérisque, sont indispensables à l’AP-HM pour traiter votre demande. Sans ces informations, l’AP-HM ne pourra traiter votre demande.

Les données personnelles qui nous sont communiquées :

Dans le cadre de la prise en charge des données nous sont transmises par des organismes tiers, notamment votre médecin traitant ou celui qui vous a adressé à l’AP-HM, les organismes d’Assurance Maladie au travers de votre Carte Vitale, les Mutuelles, etc.

Les données personnelles que nous collectons automatiquement :

Nous collectons automatiquement certaines informations vous concernant dans le cadre des actes de télémédecine ou d’usage d’outils connectés, ou de la vidéoprotection.

L’AP-HM collecte vos données à caractère personnel pour les finalités décrites au point 1 de la présente Politique. Dans tous les cas, l’AP-HM collecte vos données à caractère personnel et vos données de santé, uniquement lorsque leur collecte et leur traitement reposent sur un fondement juridique.

L’exécution des relations contractuelles avec l’AP-HM

Vos données sont nécessaires à l’exécution du contrat auquel vous avez souscrit ou vous souhaitez souscrire, ou à l’exécution de mesures précontractuelles. Sur cette base juridique, tout refus de communiquer vos données personnelles empêchera la conclusion et l’exécution du contrat.

Le respect d’une obligation légale à laquelle est soumise l’AP-HM

Certaines de vos données sont traitées par l’AP-HM pour répondre à ses obligations légales, notamment la constitution du dossier médical, la gestion des demandes des droits RGPD des personnes concernées.

La sauvegarde des intérêt vitaux

Vos données sont susceptibles d’être traitées à des fins de sauvegarde de vos intérêts vitaux ou de ceux d’une autre personne physique.

L’intérêt public

Certaines de vos données sont traitées dans le cadre de l’exécution d’une mission d’intérêt public dont est investie l’AP-HM.

Certains traitements sont nécessaires pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux.

De même, certains traitements sont nécessaires à des fins de recherche scientifique ou historique ou à des fins statistiques.

Votre consentement

Certains traitements sont basés sur votre consentement préalable, qui pourra être retiré à tout moment, sans aucun préjudice sur votre prise en charge. Vous pouvez revenir sur votre choix et retirer votre consentement, selon les modalités décrites dans la section 5.2 de la présente Politique, sans toutefois remettre en cause la légalité du traitement reposant sur le consentement et mis en œuvre avant le retrait.

Les intérêts légitimes de l’AP-HM

L’AP-HM pourra traiter vos données personnelles aux fins de poursuite de son intérêt légitime notamment, pour répondre à vos demandes, pour améliorer la qualité des soins, assurer la sécurité des biens et des personnes.

La constatation, l’exercice ou la défense d’un droit en justice

L’AP-HM est susceptible de traiter certaines de vos données lorsque le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle.

Les diagnostics médicaux, la prise en charge, etc.

Certains traitements sont nécessaires aux fins de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale.

Vos données sont conservées par l’AP-HM pendant le temps nécessaire à la réalisation des finalités visées au point 1 des présentes, majorées des délais légaux de prescription.

En matière de prise en charge des patients

L’AP-HM pourra conserver votre dossier médical, sauf les cas particuliers (Article R1112-7 du Code de la santé publique), pendant la durée de la prise en charge opérationnelle du patient, puis 20 ans à compter de la date du dernier séjour ou de la dernière consultation externe du patient dans l’établissement. Le dossier médical partagé est conservé pendant le temps de l’utilisation du dossier par le patient, puis pour une durée de 10 ans à compter de sa clôture.

En matière de vigilances sanitaires

Les données seront conservées pendant la durée d’utilisation courante de données. En l’absence de précision légale ou réglementaire, les données ne peuvent en principe être conservées au-delà d’une période de 70 ans à compter de la date du retrait sur le marché du médicament, du dispositif ou du produit.

En matière de réalisation des statistiques

Les données sont devenues anonymes ou agrégées.

En matière de recherches scientifiques

À titre d’exemple, les données pourront être conservées jusqu’à la mise sur le marché du produit étudié ou jusqu’à deux ans après la dernière publication des résultats de la recherche ou, en cas d’absence de publication, jusqu’à la signature du rapport final de la recherche. Elles feront ensuite l’objet d’un archivage sur support papier ou informatique pour une durée conforme à la réglementation en vigueur.

En matière de financement des soins

Les données personnelles seront conservées pour une durée conforme à la réglementation en vigueur.

En matière d’établissement, d’exercice ou la défense de réclamations légales contre l’AP-HM,

Les données personnelles seront conservées pour une durée conforme à la réglementation en vigueur.

En matière d’envoi des communications et d’informations sur l’AP-HM

Votre adresse e-mail sera conservée tant que vous ne vous êtes pas désinscrit (via le lien de désinscription intégré aux newsletters).

En matière de gestion des demandes d’exercice des droits RGPD

Les données seront conservées le temps de l’instruction de votre demande, puis archivées conformément aux délais de prescription en vigueur (5 ans).

Pour de plus amples informations sur les durées de conservation de vos données, vous pouvez vous rapprocher du DPO de l’AP-HM (Cf. Art. 5.2 de la présente Politique).

En matière de vidéoprotection

Les images seront conservées pendant une période maximale de 30 jours avec un accès limité aux seules personnes habilitées. Ces données seront utilisées dans le respect de la réglementation en vigueur.

5.1. Vos droits sur vos données

Droit d’accès à vos données

Vous pouvez obtenir de l’AP-HM la confirmation que vos données sont ou ne sont pas traitées et, lorsqu’elles le sont, l’accès à l’ensemble des données et informations détenu par l’AP-HM.

Si vous voulez accéder à votre dossier médical, en obtenir une copie ou une version scannée, selon l’article L1111-7 du Code de la santé publique, veuillez consulter notre page internet « Accès à votre dossier médical ».

Droit de rectification de vos données

Vous pouvez obtenir de l’AP-HM, dans les meilleurs délais, la rectification des données vous concernant qui seraient inexactes ou erronées. Vous pouvez également demander que vos données soient complétées, le cas échéant.

Droit à l’effacement de vos données

Sauf exceptions légales, vous pouvez demander à l’AP-HM l’effacement, dans les meilleurs délais, de vos données, si notamment, vous estimez que le traitement réalisé par l’AP-HM sur vos données n’est plus nécessaire au regard des finalités pour lesquelles elles ont été collectées.

Droit à la portabilité de vos données

Vous avez la possibilité de récupérer une partie de vos données dans un format ouvert et lisible par une machine ou de demander à l’AP-HM de les transmettre à un autre organisme. Seules sont concernées par ce droit, les données que vous avez fournies activement et consciemment à l’AP-HM (par exemple, les données que vous avez renseignées dans un formulaire en ligne) ou les données générées lors de l’utilisation d’un service ou d’un dispositif dans le cadre de la conclusion ou de la gestion de votre contrat, et qui sont traitées de manière automatisée, sur la base du consentement ou de l’exécution d’un contrat.

Droit d’opposition

Vous pouvez vous opposer à ce que vos données soient utilisées par un organisme pour un objectif précis. Vous devez alors mettre en avant des raisons tenant à votre situation particulière. Par exemple, vous pouvez vous opposer à tout moment à la réutilisation de données de votre dossier médical à des fins de recherches scientifiques sur données médicales en consultant la liste des recherches réalisées par l’AP-HM disponible dans la page « Liste des recherches sur données ».

Droit à la limitation du traitement de vos données

Vous pouvez demander à l’AP-HM de conserver vos données sans pouvoir les utiliser, dans l’un des cas suivants :

• Vous contestez l’exactitude des données utilisées par l’AP-HM,
• Vous vous opposez à ce que vos données soient traitées,
• En cas d’usage illicite mais vous vous opposez à leur effacement,
• Vous en avez besoin pour la constatation, l’exercice ou la défense de droits en justice.

Droit de retirer votre consentement au traitement de vos données

Lorsque le traitement de vos données personnelles est fondé sur votre consentement, vous avez la possibilité de retirer, à tout moment, votre consentement (Voir point 5.2 de la présente Politique).

Droit de donner des directives post mortem

Vous avez la possibilité de définir des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Ces directives définissent la manière dont vous souhaitez que soient exercés, après votre décès, vos droits sur vos données. Vous pouvez nous transmettre ces directives en adressant un courrier, au DPO de l’AP-HM (Cf. Art. 5.2) mentionnant en objet « Directives post mortem ». Vous pouvez, à tout moment, modifier ou révoquer vos directives.

Droit d’introduire une réclamation auprès de la CNIL

Si vous considérez que vos droits ne sont pas respectés ou que la protection de vos données n’est pas assurée conformément au RGPD, vous pouvez, à tout moment, introduire une réclamation auprès d’une autorité de contrôle compétente (en France, la CNIL), directement sur le Site de la CNIL ou par voie postale à : CNIL – 3 Place de Fontenoy – TSA 80715 – 75334 PARIS CEDEX 07.

5.2. L’exercice de vos droits

Pour exercer l’un de vos droits, adressez votre demande à : dpo@ap-hm.fr ou par voie postale : Délégué à la Protection des Données – Direction des Services Numériques – Hôpital de la Conception – 147, boulevard Baille 13385 Marseille Cedex 05.

Toute demande doit préciser, en objet, le motif de la demande (exercice du droit d’accès, d’opposition, etc.). La demande doit également être accompagnée d’un justificatif d’identité (par exemple, un numéro patient) et préciser l’adresse à laquelle doit parvenir la réponse.

L’AP-HM vous adressera sa réponse dans un délai maximum d’un (1) mois, à compter de la date de réception de votre demande. Ce délai peut toutefois être prolongé de deux (2) mois en raison de la complexité et du nombre de demandes.

De manière générale, pour toute question relative à la présente politique de protection des données ou pour toute demande relative à la gestion de vos données personnelles par l’AP-HM, vous pouvez adresser votre demande par email ou par courrier, comme indiqué ci-dessus.

L’AP-HM est également susceptible de transmettre vos données aux entités suivantes lorsque cela est rendu nécessaire pour répondre à l’une des finalités visées au point 1 des présentes :

• L’équipe de soins dans le respect du secret professionnel (Article L1110-12 Code de la santé publique).
• Les services médico-administratifs et techniques de l’AP-HM responsables de la mise en œuvre des vigilances, de la santé publique, de l’épidémiologie et de la facturation de soins, et de la recherche, et soumis au secret professionnel, dans la limite des missions qui leur sont confiées et de ce qu’ils ont à en connaître.
• Les laboratoires de recherches de l’AP-HM et ses partenaires (Institut de Recherche pour le Développement, Aix-Marseille Université, INSERM, CNRS,…).
• Les Autorités habilitées (Trésor Public, Assurance Maladie obligatoire et complémentaire, Agence Régionale de Santé, Ministère chargé de la Santé, Commissaires aux comptes, Institutions judiciaires,…).
• Les prestataires de services réalisant des prestations pour le compte de l’AP-HM dans le respect du RGPD, notamment de l’article 28, et dans les limites des contrats de sous-traitance.
• Les partenaires industriel et académique.

Vos données sont hébergées sur des serveurs sécurisés de l’AP-HM en local, certifiée Hébergeur de Données de Santé. Pour ce qui est de nos sous-traitants et partenaires, le plus souvent, les données sont hébergées au sein de l’Union Européenne et de l’Espace Economique Européen. Toutefois, si vos données venaient à être transférées hors UE et EEE, par le biais de nos sous-traitants et partenaires, nous apporterions une attention toute particulière à ce que ces derniers traitent vos données dans le plus strict respect de la règlementation en vigueur en matière de protection des données personnelles. Dans le cas où ces derniers seraient situés dans un pays ne faisant pas l’objet d’une décision d’adéquation par la Commission Européenne, reconnaissant un niveau de protection équivalent à celui prévu par l’Union Européenne, un contrat-type sera rédigé afin de se conformer au modèle établi par la Commission Européenne (Clauses Contractuelle Types) accompagné de mesures sécuritaires complémentaires. Dans ce cas, vous avez la faculté d’accéder aux documents autorisant ce transfert.

L’AP-HM met en œuvre toutes les mesures techniques, physiques et organisationnelles pour assurer la sécurité et la confidentialité de vos données lors de la collecte, du traitement et du transfert de vos données.

Les infrastructures de l’AP-HM sont protégées contre les logiciels malveillants (virus, spyware, etc.). L’accès physique et distant aux serveurs hébergeant les données est contrôlé. Des tests d’intrusion sont réalisés, ainsi que des sauvegardes régulières avec des tests de restauration. La sécurité de votre terminal, à partir duquel vous vous connectez à notre Site, relève de votre responsabilité.

Dans le cas où l’AP-HM serait susceptible de faire appel à des prestataires pour traiter une partie de vos données, elle s’engage à vérifier qu’ils présentent des garanties suffisantes pour assurer la protection des données personnelles qui leur sont confiées et à leur faire signer des clauses de confidentialité conformes à l’article 28 du RGPD.

En cas de violation de données à caractère personnel, c’est-à-dire en cas d’incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de vos données personnelles, nous nous engageons à respecter les obligations suivantes :

POUR VOUS, LA VIOLATION DES DONNEES ENGENDRE OBLIGATIONS	AUCUN RISQUE	UN RISQUE	UN RISQUE ELEVE
Documentation interne, dans le « registre des violations »	X	X	X
Notification à la CNIL, dans un délai maximal de 72h		X	X
Nous vous en informons dans les meilleurs délais			X

Le « registre des violations » contient les éléments suivants

• La nature de la violation ;
• Les catégories et le nombre approximatif des personnes concernées ;
• Les catégories et le nombre approximatif de fichiers concernés ;
• Les conséquences probables de la violation ;
• Les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation ;
• Le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

Pour autant, et conformément à la réglementation en vigueur, l’AP-HM n’est pas tenue de vous informer d’une violation dans les cas suivants :

• Vos données à caractère personnel sont protégées par des mesures les rendant incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès ;
• Des mesures ont été prises afin que le risque ne soit plus susceptible de se matérialiser ;
• Cette communication exige pour l’AP-HM des efforts disproportionnés, ne disposant notamment d’aucun élément permettant de vous contacter pour vous en informer.

Les champs indiqués par un astérisque dans nos formulaires sont obligatoires. Les conséquences en cas de défaut de réponse sont uniquement l’absence de prise en compte de votre demande. L’obligation de fourniture des données demandées est contractuelle, car nécessaire à l’exécution du contrat auquel vous être partie ou de mesures précontractuelles réalisées à votre demande, notamment en cas de demande d’informations ou de devis concernant nos produits et services.

Lors de votre connexion à notre site Internet, l’AP-HM peut installer différents cookies sur votre terminal. Certains cookies sont soumis à votre consentement préalable et ne seront déposés que si vous les avez préalablement acceptés. Pour assurer, à votre égard, la transparence des données personnelles que nous collectons et traitons, nous vous expliquons, à travers l’article 10 de la Politique de protection de vos données sur le Site Internet, ce qu’est un cookie, quels types de cookie sont utilisés, pour quel but, quels sont les destinataires des données ainsi collectées et quels sont les moyens dont vous disposez pour gérer ces cookies.

L’AP-HM s’engage à intégrer la protection des données à caractère personnel dès la conception d’un projet, d’un service ou de tout autre outil lié à la manipulation de données personnelles, notamment la minimisation des données à caractère personnel, la limitation des finalités de la collecte de données, le respect de l’intégrité et de la confidentialité des données, et la limitation des durées de conservation.

Afin de respecter le principe d’Accountability, l’AP-HM :

• Adopte des procédures internes dans le but d’assurer le respect du règlement (charte informatique, charte de protection des données à caractère personnel, procédures de violation de données, etc.) ;
• Conserve une trace documentaire de tout traitement effectué sous sa responsabilité ou de celle du sous-traitant (tenue du registre des traitements, accords de confidentialité des salariés et des prestataires, politique de sécurité de l’entreprise, procédures de gestion des demandes d’accès, de rectification, d’opposition…) ;
• Réalise des analyses d’impact (PIA) pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées.

L’objectif est de fournir une documentation riche permettant de démontrer à tout instant le respect par l’AP-HM des règles relatives à la protection des données.